|
| Autologin Fra : Michael Hansen |
Dato : 19-09-02 10:43 |
|
Hejsa !
Jeg ønsker at lave autologin for brugerne i mit brugersystem. Som det er nu
logger brugerne sig på med derres brugernavn og password som tjekkes udfra
indholdet af en tabel i mySQL. Det jeg ønsker er at brugerne kan vælge at
blive logget på automatisk næste gang de kommer ind på siden.
Jeg har en ide om at jeg skal bruge cookies men på dette område er jeg
temmelig grøn. Kan nogen give mig et eksempel på hvordan det kunne laves ?
Mvh
Michael
| |
Steffen V Petersen (19-09-2002)
| Kommentar Fra : Steffen V Petersen |
Dato : 19-09-02 11:14 |
|
> Jeg ønsker at lave autologin for brugerne i mit brugersystem. Som det
er nu
> logger brugerne sig på med derres brugernavn og password som tjekkes
udfra
> indholdet af en tabel i mySQL. Det jeg ønsker er at brugerne kan vælge
at
> blive logget på automatisk næste gang de kommer ind på siden.
> Jeg har en ide om at jeg skal bruge cookies men på dette område er jeg
> temmelig grøn. Kan nogen give mig et eksempel på hvordan det kunne
laves ?
Nu er jeg selv ret grøn på dette område, men jeg ville da vælge at bruge
en permanet cookie.
I denne cookie, kunne man så ligge password og brugernavn i krypteret
form (så kan man heller ikke lige se brugerens password).
Så kunne man, når siden loades, checke denne cookie og lave login via
oplysningerne i den.
Jeg har ikke noget forslag til koden, men det ville være den måde jeg
ville gøre det på.
--
Venlig hilsen
Steffen V Petersen
Remove remove.
| |
Michael Hansen (19-09-2002)
| Kommentar Fra : Michael Hansen |
Dato : 19-09-02 11:50 |
|
Hejsa !
> Nu er jeg selv ret grøn på dette område, men jeg ville da vælge at bruge
> en permanet cookie.
Ok. Hvordan laver man den. Sætter man på udløbsdatoen meget højt ?
> I denne cookie, kunne man så ligge password og brugernavn i krypteret
> form (så kan man heller ikke lige se brugerens password).
Lyder fornuftigt. Er det ikke noget med md5() ?
> Så kunne man, når siden loades, checke denne cookie og lave login via
> oplysningerne i den.
> Jeg har ikke noget forslag til koden, men det ville være den måde jeg
> ville gøre det på.
Jeg tror selv jeg skal bruge setcookie()-funktionen men jeg ville blive
meget glad for et kode-eksempel.
--
Mvh
Michael
| |
Mads Møllegaard (19-09-2002)
| Kommentar Fra : Mads Møllegaard |
Dato : 19-09-02 11:59 |
|
"Michael Hansen" <michael@amweb.dk> wrote in message
news:3d89ac30$0$1011$d40e179e@nntp04.dk.telia.net...
> Hejsa !
>
> > Nu er jeg selv ret grøn på dette område, men jeg ville da vælge at bruge
> > en permanet cookie.
>
> Ok. Hvordan laver man den. Sætter man på udløbsdatoen meget højt ?
http://dk.php.net/manual/en/function.setcookie.php
>
> > I denne cookie, kunne man så ligge password og brugernavn i krypteret
> > form (så kan man heller ikke lige se brugerens password).
>
> Lyder fornuftigt. Er det ikke noget med md5() ?
korrekt
>
> > Så kunne man, når siden loades, checke denne cookie og lave login via
> > oplysningerne i den.
> > Jeg har ikke noget forslag til koden, men det ville være den måde jeg
> > ville gøre det på.
>
> Jeg tror selv jeg skal bruge setcookie()-funktionen men jeg ville blive
> meget glad for et kode-eksempel.
http://dk.php.net/manual/en/function.setcookie.php
// Mads @ www.startout.dk
| |
Niels Andersen (19-09-2002)
| Kommentar Fra : Niels Andersen |
Dato : 19-09-02 12:05 |
|
Michael Hansen wrote in <3d89ac30$0$1011$d40e179e@nntp04.dk.telia.net>:
>> Nu er jeg selv ret grøn på dette område, men jeg ville da vælge at bruge
>> en permanet cookie.
> Ok. Hvordan laver man den. Sætter man på udløbsdatoen meget højt ?
Definitionen på en "permanent cookie" er, at man sætter et udløbstidspunkt.
Det kan være en time ud i fremtiden, eller det kan være et år.
Jeg foreslår en relativt høj værdi. Fx. en måned, måske et år.
Men jeg ville ikke sætte den alt for højt. På et år kan man nå at tilmelde
sig og glemme sitet igen. Så kommer man tilfældigvis ind på sitet, og
forstår måske ikke, hvorfor man er logget ind.
>> I denne cookie, kunne man så ligge password og brugernavn i krypteret
>> form (så kan man heller ikke lige se brugerens password).
> Lyder fornuftigt. Er det ikke noget med md5() ?
Men det er altså ikke særligt fornuftigt. :)
At kryptere kodeordet (og måske også brugernavn) betyder godt nok, at andre
ikke bare kan læse det. Men enhver der kan se cookien, kan bare sætte den
på sin egen maskine, og så kan de logge ind.
En løsning på dette er, at tage mere end kodeord med i strenget. Fx.
User-Agent eller IP-adressen.
Bruger man User-Agtent vil opdateringer af ens browser (eller måske bare
installation af en sikkerheds-patch på sit operativ-system) betyde, at man
næste gang skal logge ind manuelt. Det synes jeg personligt er acceptabelt
i de fleste tilfælle.
Bruger man IP-adresse vil alle med dynamisk IP have et problem.
Man kan gøre problemet i begge eksempler mindre, ved kun at matche på noget
af det. Fx. kun de tre første bytes i IP-adressen. Men det vil samtidigt gå
ud over sikkerheden.
--
Mvh.
Niels Andersen
(la nels. anersyn.)
| |
Nezar Nielsen (19-09-2002)
| Kommentar Fra : Nezar Nielsen |
Dato : 19-09-02 15:40 |
|
Niels Andersen wrote:
> En løsning på dette er, at tage mere end kodeord med i strenget. Fx.
> User-Agent eller IP-adressen.
>
> Bruger man User-Agtent vil opdateringer af ens browser (eller måske bare
> installation af en sikkerheds-patch på sit operativ-system) betyde, at man
> næste gang skal logge ind manuelt. Det synes jeg personligt er acceptabelt
> i de fleste tilfælle.
og eftersom stort set alle bruger den samme browser får man heller ikke
rigtigt noget ud af det rent sikkerhedsmæssigt...
--
Mvh. Nezar Nielsen
Nano - Advanced Simplicity
http://www.nano.dk/
| |
Peter Brodersen (19-09-2002)
| Kommentar Fra : Peter Brodersen |
Dato : 19-09-02 16:35 |
|
On Thu, 19 Sep 2002 16:39:47 +0200, Nezar Nielsen <tumpen@fez.dk>
wrote:
>og eftersom stort set alle bruger den samme browser får man heller ikke
>rigtigt noget ud af det rent sikkerhedsmæssigt...
Jeg ser nu en forholdsvis stor spredning på user-agents i de logs, jeg
kigger på - selv for den samme browser. Sålænge, man ikke baserer
sikkerheden på det, så mener jeg ikke, det gør noget at tage den
ekstra sikkerhed med.
--
- Peter Brodersen
| |
Niels Andersen (19-09-2002)
| Kommentar Fra : Niels Andersen |
Dato : 19-09-02 21:12 |
|
Nezar Nielsen wrote in <3d89e1d5$0$75627$edfadb0f@dspool01.news.tele.dk>:
>> En løsning på dette er, at tage mere end kodeord med i strenget. Fx.
>> User-Agent eller IP-adressen.
>>
>> Bruger man User-Agtent vil opdateringer af ens browser (eller måske bare
>> installation af en sikkerheds-patch på sit operativ-system) betyde, at
>> man næste gang skal logge ind manuelt. Det synes jeg personligt er
>> acceptabelt i de fleste tilfælle.
>
> og eftersom stort set alle bruger den samme browser får man heller ikke
> rigtigt noget ud af det rent sikkerhedsmæssigt...
Nu er "UserAgent" jo ikke bare browserens navn. Hos den mest populære
browser er det både browser version, OS, og OS version. Dertil kommer
service-packs, måske sikkerheds-patche, måske også navnet på en
"leverandør".
Ikke noget man skal basere sin sikkerhed på, men ofte er det nok til at gå
fra "dårlig sikkerhed" til "sikker nok".
Hvis du har andre forslag til at forbedre sikkerheden på automatisk login,
så er du velkommen til at bidrage til diskussionen.
Personligt mener jeg, at hvis dette ikke sikkert nok, så skal man slet ikke
bruge automatisk login.
--
Mvh.
Niels Andersen
(la nels. anersyn.)
| |
Michael Hansen (19-09-2002)
| Kommentar Fra : Michael Hansen |
Dato : 19-09-02 21:25 |
|
Hej
<SNIP>
>
> Personligt mener jeg, at hvis dette ikke sikkert nok, så skal man slet
ikke
> bruge automatisk login.
>
Jeg er enig. Det bliver nok den løsning jeg vælger at bruge. Så må man bare
håbe at brugeren ikke bruger to forskellige browsere på samme computer som
jeg fx gør. For det ville da give probs, right ?
--
Mvh
Michael
| |
Martin Seebach (19-09-2002)
| Kommentar Fra : Martin Seebach |
Dato : 19-09-02 23:36 |
|
"Michael Hansen" <michael@amweb.dk> wrote in message
news:3d8a32d0$0$11464$d40e179e@nntp02.dk.telia.net...
> Jeg er enig. Det bliver nok den løsning jeg vælger at bruge. Så må man
bare
> håbe at brugeren ikke bruger to forskellige browsere på samme computer som
> jeg fx gør. For det ville da give probs, right ?
Næ. For så har du jo en cookie til hver browser..
--
Venlig hilsen
Martin Seebach
- min email adresse virker..
| |
Michael Hansen (20-09-2002)
| Kommentar Fra : Michael Hansen |
Dato : 20-09-02 08:37 |
|
Hej
<SNIP>
> Næ. For så har du jo en cookie til hver browser..
Ja det har du selvfølgelig ret i men hvergang det er en ny browser skal man
lige logge ind igen. Men det er nu også acceptabelt !
Mvh
Michael
| |
|
|